De EU AI Act laat lidstaten vrij in het aanwijzen van markttoezichthouders, mits ze daadwerkelijk bevoegd, onafhankelijk en effectief zijn. Frankrijk koos voor centraal toezicht via de CNIL, Spanje voor een gloednieuwe AI-autoriteit AESIA, Italie koppelde AI aan AgID. Nederland kiest een derde weg: sectoraal toezicht via tien bestaande markttoezichthouders, gecoordineerd via het DCA. Voor bedrijven betekent dit dat de eerste vraag bij elke AI Act-implementatie is: wie van de tien gaat mij controleren? Een MKB-bedrijf zonder duidelijk sectoraal profiel kan zomaar met twee of drie toezichthouders te maken krijgen, met elk hun eigen handhavingscultuur, communicatiestijl en termijnen.
Waarom 10 toezichthouders in plaats van een?
De achterliggende redenering in de Uitvoeringswet AI-verordening en het kabinetsstandpunt is drieledig. Ten eerste: bestaande sectorale toezichthouders beschikken al over domeinkennis. Een DNB-toezichthouder kent banken; een NZa-toezichthouder kent zorgaanbieders. Door AI-toezicht bij hen onder te brengen, voorkom je dubbele expertise-opbouw. Ten tweede: de AI Act bepaalt zelf in artikel 70 lid 2 dat bij producten die onder Annex I-richtlijnen vallen, de bestaande markttoezichthouder ook AI-toezicht uitoefent. Voor medische hulpmiddelen, machines en speelgoed is dat dus al verplicht-sectoraal.
Ten derde sluit het sectorale model aan bij de Nederlandse bestuurstraditie. Net als de Wet bestuurlijke boetes financiele sector of de Wet handhaving consumentenbescherming wordt AI-toezicht ingebed in bestaande wettelijke structuren. Het nadeel: voor bedrijven met sector-overschrijdende AI is meer afstemming nodig, en niet alle toezichthouders hebben dezelfde middelen en handhavingscultuur. De AP heeft jarenlange ervaring met AVG-handhaving en publieke communicatie, terwijl sommige sectorale toezichthouders pas net beginnen met algoritme-onderzoek en hun werkwijze nog moeten ontwikkelen.
Toezichthouder 1: Autoriteit Persoonsgegevens en het DCA
De AP is de horizontale toezichthouder voor alle hoog-risico AI-toepassingen die niet binnen een sectorale toezichthouder vallen. Concreet: HR-AI zoals CV-screening en prestatiebeoordeling, recruitment-platforms, klantsegmentatie-AI buiten financiele dienstverlening, en algemene zakelijke toepassingen. Daarnaast houdt de AP specifiek toezicht op biometrische identificatie (artikel 5 verboden, plus hoog-risico biometrie in Annex III) en het recht op uitleg uit artikel 86.
De AP coordineert ook het Department for the Coordination of Algorithmic Oversight (DCA). Het DCA is een samenwerkingsverband sinds 2023 dat onder de UAIA wettelijke verankering krijgt. Voor bedrijven betekent dat: bij twijfel over welke toezichthouder bevoegd is, kunt u bij het DCA of de AP terecht voor verwijzing. De AP heeft sterke AVG-handhavingservaring en die expertise wordt ingezet bij AI-toezicht, met name daar waar AI persoonsgegevens verwerkt.
Toezichthouder 2: Rijksinspectie Digitale Infrastructuur
De RDI valt onder het ministerie van Economische Zaken en houdt toezicht op Annex I van de AI Act: AI-componenten in producten die onder bestaande EU-productrichtlijnen vallen. Dat zijn onder andere:
- Machines (Machinerichtlijn / Machineverordening)
- Medische hulpmiddelen (Medical Device Regulation)
- Speelgoed (Toy Safety Directive)
- Persoonlijke beschermingsmiddelen
- Radio- en telecomapparatuur
- Liften en pleziervaartuigen met AI-functies
Voor maakbedrijven die AI inbouwen in hun producten is de RDI dus de primaire toezichthouder. De RDI heeft als voordeel dat zij al ervaring heeft met CE-markering, technische dossiers en conformiteitsbeoordeling, juist de instrumenten die de AI Act ook hanteert.
Toezichthouder 3: Autoriteit Consument & Markt
De ACM krijgt taken op het snijvlak van consumentenbescherming en online platforms. Concrete focus: dark patterns aangedreven door AI, AI-gebaseerde personalisatie die consumenten benadeelt, en transparantieverplichtingen op grote online platforms. De ACM coordineert tevens met de Digital Services Act en de Digital Markets Act, waardoor er een natuurlijke aansluiting is met de bredere consumentenbeschermingsagenda. Webshops, marktplaatsen en aanbieders van consumentendiensten zullen vaker met de ACM te maken krijgen dan met de AP. Voor recommendation engines, dynamic pricing en chatbot-flows met aankoopfunctie wordt de ACM het primaire aanspreekpunt.
Toezichthouder 4: Nederlandse Zorgautoriteit
De NZa houdt toezicht op zorgaanbieders die hoog-risico AI gebruiken. Voorbeelden: triagesystemen, beslissingsondersteuning bij diagnose, prioritering van wachtlijsten en zorgaanvragen, machtigingsbeoordelingen door zorgverzekeraars. De NZa werkt nauw samen met de IGJ (Inspectie Gezondheidszorg en Jeugd) en het CIBG voor productveiligheid van medische hulpmiddelen. Voor zorginstellingen wordt het belangrijk om duidelijk onderscheid te maken: gaat het om een AI-tool als medisch hulpmiddel (RDI/IGJ) of als beslissingsondersteuning in de zorgverlening (NZa)?
Toezichthouder 5: Autoriteit Financiele Markten
De AFM is verantwoordelijk voor AI in financiele dienstverlening richting consumenten: beleggingsadvies, kredietscoring, robo-advisors, fraudedetectie in retail-financiele producten. De AFM kan AI-systemen beoordelen op hun bijdrage aan zorgplicht en suitability, en bij overtreding handhaven via haar bestaande boete-instrumentarium. Belangrijk: de AFM en de AP coordineren over biometrie in financiele diensten, zoals stem-authenticatie en KYC-procedures.
Toezichthouder 6: De Nederlandsche Bank
DNB houdt toezicht op banken, verzekeraars en pensioenfondsen voor hun AI-toepassingen. Hoog-risico voorbeelden: kredietbesluiten over zakelijke klanten, risico-modellering, premiezetting, anti-witwassen scoring. DNB heeft tevens een sleutelrol in de afstemming met DORA, de Digital Operational Resilience Act, die parallel verplichtingen oplegt rond ICT-beheersing van financiele instellingen. Banken die zowel DORA als de AI Act moeten naleven, krijgen via DNB de geintegreerde aanpak. In de praktijk verwacht DNB dat de governance van AI-modellen wordt ingebed in de bestaande model risk management-frameworks, met duidelijke modelvalidatie, change management en periodieke herbeoordeling.
Toezichthouder 7: Nederlandse Voedsel- en Warenautoriteit
De NVWA controleert productveiligheid in voedsel, consumentenproducten en bepaalde landbouwtoepassingen. AI-toezicht door de NVWA richt zich op situaties waarin AI veiligheidsbeslissingen neemt: bijvoorbeeld in geautomatiseerde voedselverwerking, AI-gedreven inspectie van consumentenproducten en algoritmische besluitvorming over productrecalls. Voor producenten en importeurs van consumentengoederen kan de NVWA een tweede toezichthouder zijn naast de RDI. Praktisch betekent dit dat fabrikanten van slimme consumentenproducten met AI-functionaliteit hun documentatie zo moeten inrichten dat zowel productveiligheids- als AI-vereisten in samenhang aantoonbaar zijn.
Toezichthouder 8: Inspectie van het Onderwijs
De Inspectie houdt toezicht op AI in onderwijsinstellingen, met name daar waar AI hoog-risico beslissingen ondersteunt: toelating, beoordeling, studievoortgang en plaatsing. Annex III van de AI Act benoemt onderwijs als hoog-risico domein. Universiteiten, hogescholen en mbo-instellingen die plagiaatcontrole-AI, AI-gegenereerd lesmateriaal of beoordelings-AI inzetten, vallen onder dit toezicht. Ook proctoring-software bij online tentamens is een aandachtsgebied.
Toezichthouders 9 en 10: Inspectie Justitie en Veiligheid, Inspectie Leefomgeving en Transport
De Inspectie Justitie en Veiligheid houdt toezicht op AI-gebruik door politie, openbaar ministerie, IND en andere uitvoerders in de justitie- en migratieketen. De AI Act kent voor deze domeinen specifieke uitzonderingen en strengere eisen, en de Inspectie speelt daarbij een waarborgrol. Onderwerpen zijn onder andere risicotaxatie-instrumenten, gezichtsherkenning in opsporing onder de strikte voorwaarden van artikel 5, en algoritmische ondersteuning bij asielbeslissingen.
De Inspectie Leefomgeving en Transport (ILT) controleert AI in transport, infrastructuur en milieu. Denk aan AI-systemen in luchtverkeersleiding, scheepvaart, spoor en de circulaire economie. Ook AI in de afvalsector, in vergunningverlening voor milieu-installaties en in predictive maintenance van vitale infrastructuur valt onder de ILT-bevoegdheid. Voor logistieke dienstverleners en infrastructuurbeheerders is de ILT dus de relevante partner, eventueel parallel met de RDI voor de productlaag van gebruikte hardware.
Aanvullende rol: het EU AI Office
Naast de tien Nederlandse toezichthouders speelt het Europese AI Office een rol. Dit bureau onder de Europese Commissie houdt toezicht op aanbieders van General Purpose AI-modellen, zoals OpenAI, Google en Anthropic. Voor Nederlandse deployers betekent dit: de AP houdt toezicht op uw gebruik, het EU AI Office op de leveranciers. Klachten over een GPAI-model gaan dus richting Brussel; klachten over uw inzet ervan richting de Nederlandse toezichthouder.
Hoe identificeert u uw eigen sector-toezichthouder?
De volgende beslislogica werkt voor de meeste organisaties:
| Sector / Toepassing | Primaire toezichthouder |
|---|---|
| Bank, verzekeraar, pensioenfonds | DNB (prudentieel) + AFM (gedrag) |
| Zorgaanbieder, ziekenhuis, GGZ | NZa + IGJ |
| Onderwijsinstelling | Inspectie van het Onderwijs |
| Maker van machines, medische hulpmiddelen, speelgoed | RDI |
| Webshop, online platform, marktplaats | ACM |
| Voedingsmiddelenproducent | NVWA |
| Transport, logistiek, infrastructuur | ILT |
| Politie, justitie, migratie | Inspectie Justitie en Veiligheid |
| HR-AI, recruitment, algemene zakelijke AI | AP (horizontaal) |
| Biometrie en recht op uitleg | AP |
Praktijktip: documenteer uw toezichthouder-analyse. Bij twijfel kunt u een vooroverleg aanvragen met de AP of de waarschijnlijke sectorale toezichthouder. Dat schept duidelijkheid voor uw interne governance en bewijst dat u proactief heeft gehandeld.
Wat als er meerdere toezichthouders zijn?
Veel organisaties hebben meerdere toezichthouders. Een bank die ook een online platform exploiteert, kan met DNB, AFM en ACM te maken hebben. Een zorgverzekeraar combineert DNB, AFM en NZa. Een fabrikant van slimme medische hulpmiddelen valt onder RDI en IGJ.
De UAIA introduceert een lead-supervisor-model. Bij sector-overschrijdende casuistiek wordt een primaire toezichthouder aangewezen die de zaak coordineert. Het DCA faciliteert deze coordinatie en zorgt dat een bedrijf niet door meerdere toezichthouders parallel onderzocht wordt voor dezelfde feiten. Drie praktische gevolgen:
- Een aanspreekpunt voor de toezichthouder: wijs intern een persoon aan die contact onderhoudt met alle bevoegde toezichthouders.
- Eenduidige documentatie: uw AI-register, risicobeoordelingen en beleidsdocumenten moeten consistent zijn voor alle toezichthouders.
- Geen veelvoudige boete voor hetzelfde feit: het ne bis in idem-beginsel beschermt tegen dubbele bestraffing, mits de coordinatie correct verloopt.
Als uw AI-systeem klanten in meerdere sectoren raakt, of als u zowel product- als dienstaspecten heeft, plan dan vroegtijdig overleg met de verwachte primaire toezichthouder. Onduidelijkheid over bevoegdheid is geen excuus bij handhaving: zonder duidelijk aanspreekpunt loopt u risico op parallelle onderzoeken.
Identificeer uw toezichthouder in 10 minuten
De gratis ActCheck-checker bepaalt op basis van uw AI-toepassingen en sector welke van de tien Nederlandse toezichthouders u zal aanspreken en welke documentatie zij verwacht.
Start de gratis check